TROJ_VBKRYPT.CB

このマルウェアは、ソーシャルエンジニアリングの手法を利用し、ユーザがある行為をするよう誘導します。この行為が、直接、または間接的に、マルウェアの不正活動実行のきっかけとなります。

マルウェアは、特に、ソーシャル・ネットワーキング・サイト「Facebook」およびマイクロブログサイト「Twitter」のメッセージ機能を利用して、不正なメッセージを送信します。このメッセージは正規のものを装っており、ユーザが誤ってこのメッセージ内のリンクをクリックするように誘導します。

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

マルウェアは、実行後、自身を削除します。

マルウェアは、特定のWebサイトにアクセスします。これにより、不正リモートユーザにマルウェアのインストールが知らされます。また、不正なファイルがダウンロードされます。この結果、感染コンピュータは、さらなる他の脅威にさらされることとなります。

侵入方法

マルウェアは、Webサイトに組み込まれており、ユーザがアクセスすると実行されます。

インストール

マルウェアは、実行後、自身を削除します。

マルウェアは、以下の通常のプロセスにスレッドを組み込みます。

• SVCHOST.EXE

ダウンロード活動

マルウェアは、以下の不正Webサイトにアクセスします。

• http://{BLOCKED}0.com/abc/load.php?file=0 - also detected as TROJ_SOCNET.A
• http://{BLOCKED}0.com/abc/load.php?file=1- also detected as TROJ_SOCNET.A
• http://{BLOCKED}0.com/abc/load.php?file=2 - also detected as TROJ_SOCNET.A
• http://{BLOCKED}0.com/abc/load.php?file=3 - inaccessible
• http://{BLOCKED}0.com/abc/load.php?file=4 - inaccessible
• http://{BLOCKED}0.com/abc/load.php?file=5 - inaccessible
• http://{BLOCKED}0.com/abc/load.php?file=6 - inaccessible
• http://{BLOCKED}0.com/abc/load.php?file=7 - inaccessible
• http://{BLOCKED}0.com/abc/load.php?file=8 - inaccessible
• http://{BLOCKED}0.com/abc/load.php?file=9 - inaccessible
• http://{BLOCKED}0.com/abc/load.php?file=grabbers - inaccessible

マルウェアは、以下のファイル名でダウンロードしたファイルを保存します。

• %User Temp%\{random file name}.TMP

(註：%User Temp%はWindowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 98 および MEの場合、"C:\Windows\Temp"、Windows NT の場合、"C:\Profiles\＜ユーザー名＞\TEMP"、Windows 2000、XP、Server 2003 の場合、"C:\Documents and Settings\＜ユーザー名＞\Local Settings\TEMP" です。)

その他

マルウェアは、以下の正規ファイルのコピーを実行します。このファイルは、上記の不正なWebサイトにアクセスするコードが組み込まれています。

• %System%\svchost.exe

　（註：%System%は、Windowsの種類とインストール時の設定などにより異なります。標準設定では、Windows 2000 の場合、%System% ＝ C:\WinNT\System32、Windows XP/Server 2003 の場合、%System% ＝ C:\Windows\System32です。）